Formation ISO/CEI 27001 Lead Implementer – Sécurité des Systèmes d’Information

1ère Partie : Le Lead Implementer 2025 et la norme ISO 27001

• Les principes d’un système de management de la sécurité de l’information
• Les origines et l’histoire des normes ISO
• Le modèle PDCA, approche par processus
• La norme ISO 27001:2022 et ses exigences
• Les normes ISO dans l’entreprise : articulation avec les pratiques métier, les contraintes réglementaires et les enjeux RSE
• La notion de risque, les enjeux liés à l’IA et la norme ISO 27005

• Les principes de mise en œuvre – ISO 27003
• Définir l’approche méthodologique projet (intégrant l’accessibilité et les considérations environnementales)
• La gestion du changement : acteurs clés, sensibilisation et appropriation
• Construire une vision alignée avec les priorités stratégiques
• Définir les objectifs, les enjeux internes/externes, et les ressources nécessaires

• Formalisation du business case et des critères d’adhésion
• Clarification des priorités et des contraintes de l’organisation
• Définition du périmètre préliminaire
• Attribution des rôles et responsabilités clés
• Élaboration du plan de projet préliminaire
• Présentation du projet SMSI à la direction et obtention de l’approbation

• Structuration de la gouvernance du projet
• Définition des rôles principaux du SMSI (y compris pilotage de la cybersécurité, référents accessibilité et durabilité)
• Le rôle stratégique du Lead Implementer
• Constitution et animation de l’équipe projet
• Mobilisation des ressources internes/externes
• Plan de communication interne pour favoriser l’engagement

• Définir le périmètre d’application du SMSI (BU, SI, sites…)
• Périmètre ICT, physique et organisationnel
• Intégration de l’approche risques liés à l’IA dans la délimitation
• Développement et validation de la Politique de Sécurité de l’Information

• Analyse des exigences internes, légales, contractuelles
• Identification des parties prenantes et de leurs besoins
• Recensement des actifs et cartographie du SI
• Réalisation d’un audit de l’existant et évaluation de la maturité

• Réalisation de l’appréciation des risques (ISO 27005)
• Audit des vulnérabilités techniques, organisationnelles et liées à l’IA
• Identification des risques sur les actifs critiques
• Traitement et acceptation des risques
• Sélection des mesures de sécurité (Annexe A – ISO 27001)
• Élaboration d’une Déclaration d’Applicabilité alignée avec les exigences spécifiques

• Définition de l’organisation cible du SMSI
• Gouvernance documentaire : référentiel, versioning, validation
• Politique, procédures et processus de sécurité de l’information
• Intégration des exigences d’accessibilité et de sobriété numérique dans les processus
• Accompagnement au changement et dispositifs de support
• Plan final de déploiement du SMSI dans l’entreprise

• Définir des objectifs opérationnels mesurables
• Élaborer les indicateurs clés (KPI) alignés aux risques et au niveau de maturité visé
• Structuration des tableaux de bord de pilotage
• Méthodes de suivi, analyse et communication

• Organisation de la montée en charge
• Gestion des incidents et des non-conformités
• Organisation des audits internes
• Revue de direction et boucle d’amélioration continue

2ème Partie : ISO 27001 Lead Implementer – Mise en application

1. Étude d’opportunité
   • Analyse SWOT, ROI, enjeux réglementaires et IA
   • Intégration des parties prenantes et validation stratégique
2. Lancement du projet
   • Constitution de l’équipe projet (dont référents accessibilité et SI)
   • Mise en place des comités de pilotage, jalons et canaux de communication
3. État des lieux
   • Auto-évaluation ISO, entretiens, analyse documentaire
   • Identification des risques émergents (ex : IA, dépendances Cloud)
4. Définition du périmètre et du niveau de sécurité
   • Prise en compte des parties prenantes, SI critiques, exigences métiers
5. Déclaration d’applicabilité (DdA)
   • Justification des mesures retenues (Annexe A)
   • Intégration des exigences sociales et environnementales
6. Constitution du corpus documentaire
   • Référentiel documentaire structuré, classification, accessibilité
7. Appréciation des risques (ISO 27005)
   • Application pratique de la grille d’analyse
   • Traitement selon criticité, impacts IA, leviers RSE
8. Allocation des ressources
   • Arbitrages budgétaires, définition des priorités
   • Rôle du RSSI, Lead Implementer et DSI
9. Déploiement des mesures de sécurité
   • Techniques, organisationnelles, physiques
   • Dispositifs spécifiques d’inclusion numérique et accessibilité
10. Mise en place des indicateurs
    • Tableaux de bord, automatisation, suivi multi-niveaux
11. Audit interne
    • Organisation, grille de contrôle, traitement des écarts
12. Revue de direction
    • Alignement stratégique, ajustement du SMSI, pilotage PDCA
13. Sélection d’un organisme de certification
    • Comparaison, contractualisation et préparation à l’audit
14. Audit de certification
    • Scénarios pratiques, posture d’audité, gestion des non-conformités
15. Suivi post-audit
    • Consolidation des résultats, maintien de la conformité et amélioration continue

• Maîtriser les connaissances de base des Systèmes de l’Information et de leurs systèmes de sécurité.

• Avoir au minimum 1 an d’expérience dans son poste ou métier (en lien avec les Systèmes de l’Information et systèmes de sécurité)

Cette formation vous permettra de valider notre certification Piloter la mise en œuvre d’un système de management de la sécurité de l’information (ISO/CEI 27001 Lead Implementer) : Dossier déposé auprès de France Compétences pour une demande de renouvellement du titre RS

 L’évaluation se fait à travers une mise en situation professionnelle reconstituée.

Cette mise en situation se rapporte à un cas réel anonymisé d’une organisation souhaitant élaborer et mettre en œuvre un projet d’implementation d’un système de management de la sécurité de l’information en conformité avec la norme ISO 27001 et les autres normes ISO associées (1).
Le cas d’entreprise décrit et présente le contexte spécifique, les particularités, les enjeux et le système d’information de l’entreprise. 

L’examen de certification d’une durée de 3h30 se déroule en distanciel sur une plateforme d’examen sous surveilance. Il est constitué par :

– la production de livrables à partir d’une mise en situation d’un cas réel anonymisé

– une soutenance présentation orale de 20 min face à un jury

Mise en situation professionnelle reconstituée, sous la forme d’une étude de cas écrite, complétée par une séquence orale de questionnement du jury d’évaluation

Cette mise en situation se rapporte à un cas réel anonymisé d’une organisation souhaitant élaborer et mettre en œuvre un projet d’implémentation d’un système de management de la sécurité de l’information (SMSI) en conformité avec la norme ISO 27001 et les autres normes ISO associées (1).

Le cas d’entreprise décrit et présente le contexte spécifique, les particularités, les enjeux et le système d’information de l’entreprise.

Dans l’étude de cas, à l’écrit, il est demandé au candidat de :

• Établir un état des lieux de la sécurité de l’information de l’organisation au regard des exigences de la norme ISO 27001 (en lien avec C1)

• Définir et formaliser le domaine d’application et le business case du SMSI à implémenter (en lien avec C2)

• Structurer le plan de projet du SMSI et sa gouvernance (en lien avec C3)

• Élaborer la Politique de sécurité de l’information et la Déclaration d’applicabilité du SMSI (en lien avec C4)

• Expliciter et justifier les méthodes et moyens à mobiliser pour piloter le déploiement opérationnel du SMSI, y compris la démarche d’appropriation (en lien avec C5)

• Expliciter et justifier les méthodes et moyens à mobiliser pour conduire la démarche et de la Déclaration d’applicabilité du SMSI (en lien direct avec la C4)

• Expliciter et justifier les méthodes et moyens à mobiliser pour piloter le déploiement opérationnel du SMSI, y compris la démarche d’appropriation (en lien avec C5)

• Expliciter et justifier les méthodes et moyens à mobiliser pour conduire la démarche d’amélioration continue du SMSI (en lien avec C6)

La production réalisée par le candidat durant l’étude de cas sera transmis au jury d’évaluation en amont de la session orale de questionnement.

Questionnement du jury d’évaluation

A l’oral, il est demandé au candidat de répondre aux questions du jury d’évaluation portant notamment sur les éléments de l’étude de cas réalisée pouvant nécessiter des approfondissements, des éclairages ou des justifications.

(1) les normes associées sont les normes de la famille des ISO 27000 (27001, 27002, 27003, 27004, 27005, 27006, 27007, 27008)

L’objectif de cette formation est de préparer notre certification Piloter la mise en œuvre d’un système de management de la sécurité de l’information (ISO/CEI 27001 Lead Implementer) 

L’objectif d’apprentissage de cette formation est de permettre aux apprenants de valider les compétences des professionnels capables d’élaborer et mettre en œuvre un système de management de la sécurité de l’information d’une organisation (SMSSI) selon la norme NF EN ISO/IEC 27001 : 2022.

Le SMSSI visé devra tenir compte des besoins et des objectifs de l’organisation, des exigences de sécurité, des processus organisationnels mis en œuvre, ainsi que de la taille et de la structure de l’organisation.

Ce dispositif de certification permet de la reconnaissance des compétences suivantes :

C1. Établir un état des lieux de la sécurité de l’information d’une organisation au regard des exigences de la norme ISO 27001, en collectant et en analysant les données issues de la documentation et d’entretiens avec les personnes ressources, et en prenant en compte les spécificités liées à l’exploitation de l’IA le cas échéant, afin d’identifier les axes de progrès en matière de Système de Management de la Sécurité de l’Information (SMSI).

C2. Définir et formaliser le domaine d’application et le business case du SMSI à implémenter, en s’appuyant sur l’état des lieux réalisé et sur la norme ISO 27001 pour déterminer ses objectifs, et en appliquant une approche projet établie et prenant en compte l’organisation et sa stratégie, les enjeux de transition écologique et l’inclusion des personnes en situation de handicap, en vue de permettre l’adhésion et la validation du projet, tout en structurant la démarche de pilotage.

C3. Structurer le plan de projet du SMSI et sa gouvernance, en constituant une équipe projet adaptée, en précisant ses rôles et responsabilités en lien avec la norme, et en définissant en collaboration avec les parties prenantes les activités, ressources, jalons et risques, afin de favoriser la réussite de son déploiement.

C4. Élaborer la Politique de sécurité de l’information et la Déclaration d’applicabilité du SMSI, dans le respect du référentiel ISO 27001, en
prenant en compte les contraintes et spécificités de
l’organisation, afin de piloter efficacement la conformité et la gestion des risques.

C5. Piloter le déploiement opérationnel du SMSI, à travers l’exécution du plan de projet, en documentant en conformité avec ISO 27001 les dispositifs, l’organisation et les mesures de sécurité spécifiques, et en conduisant une démarche d’appropriation (communication, formation, assistance) adaptée à la sécurité de l’information et aux besoins spécifiques des utilisateurs, y compris en situation de handicap, afin de réduire les vulnérabilités et d’obtenir l’engagement des parties prenantes.

C6. Conduire la démarche d’amélioration continue du SMSI, en s’appuyant sur des indicateurs de performance opérationnelle adaptés, et en instaurant des dispositifs de contrôle, de suivi et de révision régulière conformes à la norme, afin d’en garantir l’efficacité, la conformité et l’évolution dans la durée.

Formation en digital-learning, 100% en ligne, formée de vidéos, de quiz, de lectures et contenus complémentaires, d’un forum et selon les cas, de webinaires.

– conformément aux CGU du CPF (https://www.moncompteformation.gouv.fr/espace-public/conditions-generales-dutilisation) votre formation a une date de début et une date de fin contractuelle et convenues au moment de votre demande auprès du CPF. La formation doit avoir été réalisée entièrement à la date de fin de la formation.

– conformément aux CGU du CPF, vous serez présenté automatiquement à la fin de la période de formation au certificateur français inscrit au CPF. La planification de l’examen sera réalisée avec le certificateur français directement.

– si votre formation comprend une ou plusieurs certifications internationales, vous devrez nous en passer commande au maximum 1 mois après la date de fin de votre formation. Cette demande se fait par mail à l’adresse contact@skills4all.com. Si cette date est dépassée, il ne sera plus possible de passer commande de(s) la certification(s) internationale(s).

– nous vous encourageons à lire attentivement nos conditions d’usage de notre plateforme disponibles ici (https://lms.skills4all.com/admin/tool/policy/viewall.php). Ces conditions rappellent également les cas de force majeure acceptables en cas d’impossibilité de suivre la formation ou de passer sa certification.

Skills4All est le spécialiste des formations certifiantes sur les métiers du digital :

• Cybersécurité
• Intelligence artificielle
• Agilité
• Gestion de projet
• Automatisation
• Marketing digital
• Développement Web
• etc…

Notre spécificité : vous apprenez où vous voulez, quand vous voulez, grâce à une plateforme accessible 24/7/365 et un accompagnement spécifique. Nos formations ciblent les besoins du marché d’aujourd’hui et vous permettent d’acquérir les compétences clés des secteurs en pleine expansion.

Skills4All est accrédité par le COFRAC (Comité Français d’Accréditation) dans le domaine de la sécurité de l’information, selon la norme ISO 17024, la plus exigeante aujourd’hui. Cette reconnaissance garantit la qualité et la fiabilité de nos offres.

Le monde actuel n’a jamais eu autant besoin de compétences certifiées ; nous avons les cursus adaptés à vos ambitions.